Tipo de relatórioCriação de perfil de grupos de ameaçasAssunto da pesquisaGrupo de ransomware Arvin ClubÂMBAR SUPERIOR

Sumário executivo

• CloudSEKA equipe de pesquisa de inteligência de ameaças analisou o perfil de um grupo de ransomware chamado Arvin Club.
• Esse grupo mantém um site Onion e vários canais para atualizar suas atividades e status.
• Recentemente, o grupo violou a Kendriya Vidyalaya, um grupo de escolas do governo central na Índia. Além disso, o grupo demonstrou apoio ao REvil, que já se separou.
• Pesquisas adicionais foram conduzidas para analisar as operações e os TTPs do grupo.

Observações preliminares

• O Arvin Club é um grupo popular de ransomware com ampla presença no Telegram, que inclui bate-papos pessoais em grupo e canais oficiais.
• Recentemente, o grupo lançou seu site oficial do TOR/Onion para atualizar seu status e divulgar detalhes de seus últimos ataques e violações de dados.
• Seu alvo mais recente é Kendriya Vidyala, uma rede de escolas na Índia. O grupo expôs as informações de identificação pessoal (PII) de alguns estudantes.

Informações do site TOR do Grupo

• O grupo fez sua primeira postagem em seu site oficial do TOR em 5 de maio de 2021. No entanto, parece que o grupo também esteve ativo antes disso.
• O site lista as vítimas do grupo e a data da violação. No entanto, a maioria das entidades listadas não foi violada pelo Arvin Club.
• As entidades violadas listadas no site oficial do Arvin Club TOR:

Data da violação: Vítima24 de outubro de 2021Kendriya Vidyala, Índia20 de setembro de 2021Escritório van Dijk28 de junho de 2021Universidade de Leiden 28 de junho de 2021Transportadora aérea russa UT Air11 de junho de 2021A maior compilação de senhas RockYou202124 de maio de 2021Cartões de Ben Pardakht Mellat21 de maio de 2021Mensageiro educacional iraniano Etoudplus15 de maio de 2021Bank Mellat do Irã14 de maio de 2021Portal de pagamento com cartão6 de maio de 2021Vazamento de dados de 280 milhões nos EUA 6 de maio de 2021Compilação de muitas violações (COMB)4 de maio de 2021Fórum sobre crimes cibernéticos Maza4 de maio de 2021Loja de cardagem subterrânea chamada Swarm Shop4 de maio de 20211,3 milhão de registros de usuários do ClubHouse

Informações dos canais do Telegram

• O Arvin Club tem 2 canais de Telegram, um dos quais é seu canal oficial e tem 3000 inscritos.
• Os membros dos canais do Telegram incluem agentes de ameaças populares que têm reputação moderada a alta em fóruns de crimes cibernéticos.
• O persa é o principal idioma de comunicação nos canais de telegramas de propriedade do clube.
• Além disso, o grupo publica sobre diferentes violações de dados, que são publicadas posteriormente em seu site e canais.
• O grupo Telegram está repleto de discussões e opiniões sobre diferentes incidentes cibernéticos em todo o mundo.

Pesquisa e análise

• As observações da equipe de inteligência de ameaças da CloudSEK sugerem que o Arvin Club não é um ransomware completo, dada a indisponibilidade de amostras ou extensões dedicadas para desbloquear os arquivos.
• Além disso, não há menções a diferentes ferramentas específicas do arsenal do grupo. Isso é semelhante ao modus operandi do grupo Bonaci, que não implanta ransomware para criptografar arquivos e pastas das vítimas, mas para exfiltrar e publicar dados.
• O grupo parece incorporar métodos sofisticados de hacking. No entanto, sua recente violação não teve impacto e eles também não fizeram nenhuma tentativa de extorquir a vítima.
• O grupo apenas tentou disponibilizar dados publicamente e adotou um lema persa, que se traduz em “Liberdade de conexão”.
• Todos os recursos mencionados acima diferenciam o Arvin Club dos grupos típicos de ransomware.

Deve-se notar que o Arvin Club nunca se responsabiliza por qualquer tentativa de hacking feita nas entidades listadas em seu site oficial. Por isso, o provedor de inteligência de ameaças Hack Notice afirma explicitamente “conforme relatado pelo Arvin Club” e não foi hackeado por eles (consulte o apêndice).

Associação com o governo iraniano

Como consequência de alguns incidentes de hacking, em julho de 2021 foi relatado que o grupo estava supostamente ligado ao governo iraniano. No entanto, o grupo negou essas alegações por meio de uma postagem publicada em seu site.

Resposta ao evento REvil

Em resposta ao grupo de ransomware REvil que foi preso pelo FBI, o Arvin Club publicou um meme irônico em seu site. [caption id="attachment_18177" align="aligncenter” width="381"] Resposta à prisão de membros do grupo REvil pelo FBI [/caption]

Apêndice

[caption id="attachment_18178" align="aligncenter” width="512"] Site oficial do grupo Arvin Club Ransomware [/legenda] [caption id="attachment_18179" align="aligncenter” width="512"] Postagem do Hack Notice mencionando o Arvin Club [/caption]